軟件可靠性概述

一、軟件質(zhì)量的重要性

當(dāng)前，人類步入了信息時(shí)代，從交通、能源、電信到金融、教育、軍事……等等大多數(shù)行業(yè)都需要計(jì)算機(jī)的輔助。軟件是計(jì)算機(jī)系統(tǒng)的靈魂，是許多復(fù)雜系統(tǒng)的神經(jīng)中樞，而質(zhì)量則是軟件的命脈。

軟件失效造成系統(tǒng)癱瘓、人員傷亡以及重大經(jīng)濟(jì)損失的例子時(shí)有所聞。特別是一些安全關(guān)鍵軟件，一旦發(fā)生失效就可能危及人的生命、財(cái)產(chǎn)和生態(tài)環(huán)境。

歐洲航天局Ariane 5號(hào)火箭發(fā)射失敗是因?yàn)锳da語(yǔ)言在編譯過程的檢查失敗導(dǎo)致的。將大的浮點(diǎn)數(shù)轉(zhuǎn)換成整數(shù)是一種常見的程序錯(cuò)誤來源。1996年6月4日，對(duì)于Ariane 5火箭的初次航行來說，這樣一個(gè)錯(cuò)誤產(chǎn)生了災(zāi)難性的后果。發(fā)射后僅僅37秒，火箭偏離它的飛行路徑，解體并爆炸了。火箭上載有價(jià)值5億美元的通信衛(wèi)星，還使耗資達(dá)80億美元的開發(fā)計(jì)劃推遲近3年。后來的調(diào)查顯示，控制慣性導(dǎo)航系統(tǒng)的計(jì)算機(jī)向控制引擎噴嘴的計(jì)算機(jī)發(fā)送了一個(gè)無(wú)效數(shù)據(jù)。這件事可以說是歷史上損失最慘重的軟件故障事件。

20世紀(jì)末，“千年蟲”問題震驚世界，各國(guó)投入大量的人力和物力，耗資數(shù)千億美元，蟲災(zāi)才基本上得到控制。千年蟲縮寫為“Y2K”，又叫做“計(jì)算機(jī)2000年問題”，“2000年病毒”或“千年病毒”，是指在某些使用了計(jì)算機(jī)程序的智能系統(tǒng)（包括計(jì)算機(jī)系統(tǒng)、自動(dòng)控制芯片等）中，由于其中的年份只使用兩位十進(jìn)制數(shù)來表示，因此當(dāng)系統(tǒng)進(jìn)行（或涉及到）跨世紀(jì)的日期處理運(yùn)算時(shí)（如多個(gè)日期之間的計(jì)算或比較等），就會(huì)出現(xiàn)錯(cuò)誤的結(jié)果，進(jìn)而引發(fā)各種各樣的系統(tǒng)功能紊亂甚至崩潰。

2003年8月14日，美國(guó)及加拿大部分地區(qū)發(fā)生了的史上最大停電事故，這是由位于美國(guó)俄亥俄州的第一能源（FirstEnergy）公司下屬的電力監(jiān)測(cè)與控制管理系統(tǒng)“XA/21”出現(xiàn)軟件錯(cuò)誤導(dǎo)致的?！@樣的例子不勝枚舉，諸如此類由于軟件問題引發(fā)的事故基本上是由于軟件自身質(zhì)量造成的。

1979年，F(xiàn)isher和Light將軟件質(zhì)量定義為：表征計(jì)算機(jī)系統(tǒng)卓越程度的所有屬性的集合。1982年，F(xiàn)isher和Baker將軟件質(zhì)量定義為：軟件產(chǎn)品滿足明確需求一組屬性的集合。20世紀(jì)90年代，Norman、Robin等將軟件質(zhì)量定義為：表征軟件產(chǎn)品滿足明確的和隱含的需求的能力的特性或特征的集合。

根據(jù)計(jì)算機(jī)軟件質(zhì)量保證計(jì)劃規(guī)范GB/T12504-1990中的定義，軟件質(zhì)量是指軟件產(chǎn)品中能滿足給定需求的各種特性的總和。這些特性稱做質(zhì)量特性，它包括功能性、可靠性、易使用性、時(shí)間經(jīng)濟(jì)性、資源經(jīng)濟(jì)性、可維護(hù)性和可移植性等。

ISO9126質(zhì)量度量模型將質(zhì)量特性劃分為6個(gè)方面：

（1）功能性：適合性、準(zhǔn)確性、互操作性、依從性和安全性；

（2）可靠性：成熟性、容錯(cuò)性和易恢復(fù)性；

（3）易使用性：易理解性、易學(xué)習(xí)性和易操作性；

（4）效率：時(shí)間特性和資源特性；

（5）可維護(hù)性：易分析性、易更改性、穩(wěn)定性和易測(cè)試性；

（6）可移植性：適應(yīng)性、易安裝性、一致性和易替換性。

早在1976年，由Boehm等提出軟件質(zhì)量模型的分層方案。1979年McCall等人改進(jìn)Boehm質(zhì)量模型又提出了一種軟件質(zhì)量模型。McCall等認(rèn)為，特性是軟件質(zhì)量的反映，軟件屬性可用做評(píng)價(jià)準(zhǔn)則，定量化地度量軟件屬性可知軟件質(zhì)量的優(yōu)劣。McCall認(rèn)為軟件質(zhì)量應(yīng)由11個(gè)要素構(gòu)成，即正確性、可靠性、效率、完整性、可使用性、可維護(hù)性、可測(cè)試性、靈活性、可移植性、可復(fù)用性和互連性，具體介紹參見表1。又可分為面向產(chǎn)品運(yùn)行、面向產(chǎn)品修改、面向產(chǎn)品轉(zhuǎn)移三種類型，其相互關(guān)系如圖1所示。

表1McCall等人的軟件質(zhì)量特性定義

圖1軟件質(zhì)量要素與產(chǎn)品狀態(tài)

二、軟件可靠性的不確定性

對(duì)于可靠性的研究最早可以追溯到20世紀(jì)20、30年代關(guān)于機(jī)器維修的問題，50年代開始對(duì)于可靠性的研究進(jìn)入黃金時(shí)代，但是這些研究仍然都是基于硬件的。

直到70年代由于軟件危機(jī)的存在使得人們開始重視和研究軟件可靠性問題。以Jelinski, Shooman, Musa等為代表的一批著名軟件工程專家，援引可靠性工程學(xué)的觀點(diǎn)，對(duì)軟件可靠性作出定義。他們的措辭雖不盡相同，但基調(diào)是一致的。另一批軟件工程專家認(rèn)為軟件具有與硬件不同的性質(zhì)，因而持反對(duì)態(tài)度。在這場(chǎng)爭(zhēng)論中，JeIinski等人的見解得到了系統(tǒng)工程師們的贊同，也逐漸得到了軟件工程界多數(shù)人的支持。而且從目前的情況來看，這個(gè)定義在目前所有的定義中最恰當(dāng)?shù)胤从沉塑浖目煽啃蕴匦?，并?duì)解決實(shí)際問題發(fā)揮了作用。關(guān)于軟件可靠性的確切含義，學(xué)術(shù)界曾經(jīng)有過長(zhǎng)期的爭(zhēng)論。1983年美國(guó)IEEE（Institute for Electrical and Electronic Engineers）計(jì)算機(jī)學(xué)會(huì)對(duì)“軟件可靠性”一詞正式給出了具有定量和定性雙重含義的定義:

（1）在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)，軟件不引起系統(tǒng)失效的概率，該概率是系統(tǒng)輸入和系統(tǒng)使用的函數(shù)，也是軟件中存在錯(cuò)誤的函數(shù)；系統(tǒng)輸入將確定是否會(huì)遇到已存在的錯(cuò)誤（如果錯(cuò)誤存在的話）。

（2）在規(guī)定的時(shí)間周期內(nèi)，在所述條件下，程序執(zhí)行所要求的功能的能力。

在這個(gè)定義中，第一部分對(duì)軟件可靠性進(jìn)行了定量的描述，第二部分則對(duì)軟件可靠性進(jìn)行了定性的描述。因而軟件可靠性具有定性的和定量的兩層含義。在強(qiáng)調(diào)其定量的含義時(shí)，工程上常用軟件的可靠度函數(shù)來說明軟件的可靠性?？梢钥闯?，在這個(gè)定義中，軟件和程序兩個(gè)詞匯被明顯地混用了。這這個(gè)定義經(jīng)美國(guó)標(biāo)準(zhǔn)化研究所批準(zhǔn)作為美國(guó)的國(guó)家標(biāo)準(zhǔn)。1989年，我國(guó)國(guó)標(biāo)GB/T-11157采用了這個(gè)定義。

在該定義中，“規(guī)定條件”是指計(jì)算機(jī)的軟、硬件環(huán)境，軟件環(huán)境包括運(yùn)行的操作系統(tǒng)、應(yīng)用程序、編譯系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等；硬件環(huán)境包括計(jì)算機(jī)的CPU、CACHE、MEMORY、I/O等。“規(guī)定時(shí)間”指軟件的工作周期，有三種時(shí)間度量：日歷時(shí)間（日、周、月、年）、時(shí)鐘時(shí)間（程序運(yùn)行從開始到結(jié)束時(shí)間的秒、分、時(shí)，它包括等待時(shí)間和其他輔助時(shí)間，但不包括計(jì)算機(jī)停機(jī)占用時(shí)間）和執(zhí)行時(shí)間（指計(jì)算機(jī)執(zhí)行程序?qū)嶋H占用的中央處理器時(shí)間，故又稱CPU時(shí)間）。“執(zhí)行所要求的功能”通常指軟件不出現(xiàn)失效。如果一個(gè)系統(tǒng)不能完成其功能，就說明它發(fā)生了失效。為了識(shí)別一個(gè)失效，必須明確要求它完成的功能是什么。規(guī)定的功能通常在軟件需求規(guī)格說明書中定義。

傳統(tǒng)的軟件可靠性理論基于以下兩個(gè)基本假設(shè)：

（1）概率假設(shè)：系統(tǒng)可靠性行為可以完全用概率方式予以刻畫。

（2）雙態(tài)假設(shè)：系統(tǒng)只具有兩個(gè)極端狀態(tài)，完全正常狀態(tài)和完全失效狀態(tài)，系統(tǒng)在任意時(shí)刻必處于上述兩種狀態(tài)之一。

下面，我們將主要論述軟件可靠性的兩個(gè)基本的不確定性：隨機(jī)性和模糊性。

1.軟件可靠性的隨機(jī)性

隨機(jī)性是指有明確定義但不一定出現(xiàn)的事件中所包含的不確定性，它是由事物的因果關(guān)系不確定所造成的。概率論和數(shù)理統(tǒng)計(jì)就是研究和揭示隨機(jī)現(xiàn)象的統(tǒng)計(jì)規(guī)律性的一門學(xué)科，它至今已有幾百年的研究歷史。

具有隨機(jī)性的事件有以下一些特點(diǎn)：

（1）事件可以在基本相同的條件下重復(fù)進(jìn)行，比如擲骰子。只有單一的偶然過程而無(wú)法判定它的可重復(fù)性則不稱為隨機(jī)事件。

（2）在基本相同條件下某事件可能以多種方式表現(xiàn)出來，事先不能確定它以何種特定方式發(fā)生，如不論怎樣控制炮的射擊條件，在射擊前都不能毫無(wú)誤差地預(yù)測(cè)彈著點(diǎn)的位置。只有唯一可能性的過程不是隨機(jī)事件。

（3）事先可以預(yù)見該事件以各種方式出現(xiàn)的所有可能性，預(yù)見它以某種特定方式出現(xiàn)的概率，即在重復(fù)過程中出現(xiàn)的頻率，如大量射擊時(shí)炮彈的彈著點(diǎn)呈正態(tài)分布，每個(gè)彈著點(diǎn)在一定范圍內(nèi)有確定的概率。在重復(fù)發(fā)生時(shí)沒有確定概率的現(xiàn)象不是同一過程的隨機(jī)事件。

宏觀世界中必然發(fā)生的、確定性的事件在其細(xì)節(jié)上會(huì)帶有隨機(jī)性的偏離。微觀世界中個(gè)別客體的運(yùn)動(dòng)狀態(tài)都是隨機(jī)的。對(duì)于一個(gè)隨機(jī)事件可以探討其可能出現(xiàn)的概率，反映該事件發(fā)生的可能性的大小。大量重復(fù)出現(xiàn)的隨機(jī)事件則表現(xiàn)出統(tǒng)計(jì)的規(guī)律性。統(tǒng)計(jì)規(guī)律是大量隨機(jī)現(xiàn)象的整體性規(guī)律，它支配著隨機(jī)性系統(tǒng)的狀態(tài)。

造成軟件可靠性的隨機(jī)性，有如下幾個(gè)方面的原因：

（1）軟件操作剖面（Operational Profile）的隨機(jī)性

由于軟件操作剖面的不確定性，即使一個(gè)軟件通過測(cè)試并最終投放市場(chǎng)，它的可靠性也可能會(huì)隨著環(huán)境因素的變化而發(fā)生變化。軟件可靠性的定義表明，軟件可靠性是面向用戶的而不是面向開發(fā)人員的。軟件可靠性與用戶操作有關(guān)，而不是與程序的設(shè)計(jì)有關(guān)。操作剖面是指軟件測(cè)試數(shù)據(jù)輸入域，以及各種輸入數(shù)據(jù)的組合使用概率。歐空局（ESA）標(biāo)準(zhǔn)PSS-01-21（1991）“ESA空間系統(tǒng)軟件產(chǎn)品保證要求”，定義操作剖面為：“對(duì)系統(tǒng)使用條件的定義。系統(tǒng)的輸入值都用其按時(shí)間的分布或按它們?cè)诳赡茌斎敕秶鷥?nèi)的出現(xiàn)概率的分布來定義”。

假設(shè)軟件的總輸入域劃分為若干個(gè)輸入子域，那么這若干個(gè)子域都分別對(duì)應(yīng)一個(gè)操作剖面。輸入數(shù)據(jù)落入相應(yīng)子域的可能性稱為操作剖面值，顯然操作剖面值會(huì)因?yàn)檐浖褂铆h(huán)境不同而發(fā)生變化。因?yàn)檐浖褂铆h(huán)境的不同，使得軟件在不同環(huán)境下輸入的數(shù)據(jù)也有所不同，造成了在不同環(huán)境下具有不同的剖面值，這樣就形成了軟件在不同環(huán)境下產(chǎn)生不同可靠性的現(xiàn)象。一般來說，操作剖面與發(fā)生概率之間的關(guān)系是軟件輸入空間越大，相應(yīng)的操作剖面值則會(huì)越小。

操作剖面在可靠性評(píng)估過程中有著重要的作用，準(zhǔn)確的操作剖面能使我們得到準(zhǔn)確、可信度高的評(píng)估結(jié)果，否則，結(jié)果的可信度就會(huì)降低。事實(shí)上，由于在使用軟件之前測(cè)試員不可能完全知道軟件的使用情況，特別是對(duì)于大眾性的軟件來說更是如此，因此就無(wú)法準(zhǔn)確地定義操作剖面。在實(shí)際檢測(cè)過程中，檢測(cè)人員通常是用一個(gè)固定剖面代替實(shí)際剖面進(jìn)行測(cè)試，利用所得到的近似結(jié)果來判斷軟件可靠性的優(yōu)劣。顯然這種方法是不合適的，既然我們無(wú)法知道軟件的實(shí)際運(yùn)行剖面，那么在使用近似剖面替代時(shí)，就應(yīng)該討論結(jié)果的可信度，以及分析近似剖面發(fā)生變化對(duì)評(píng)估結(jié)果的影響。

（2）軟件測(cè)試的隨機(jī)性

由于軟件錯(cuò)誤具有離散性，從而對(duì)于樣本空間中某輸入數(shù)據(jù)的輸出很難用來代表相鄰輸入數(shù)據(jù)的輸出。軟件測(cè)試的結(jié)果常常會(huì)隨樣本空間選擇的不同而發(fā)生較大的變化。影響樣本空間選擇的隨機(jī)因素，諸如測(cè)試工具、測(cè)試員的素質(zhì)、計(jì)算機(jī)環(huán)境、失效數(shù)據(jù)收集的時(shí)間標(biāo)準(zhǔn)等，通過樣本空間間接影響軟件的測(cè)試結(jié)果。這些測(cè)試結(jié)果直接決定了軟件可靠性模型參數(shù)，然而現(xiàn)有的軟件可靠性模型往往沒有考慮這種隨機(jī)性。

（3）軟件可靠性模型的隨機(jī)性

軟件可靠性的研究始于20世紀(jì)70年代，至今已有30多年的歷史，建立的軟件可靠性模型超過百種。這些模型中的一部分在特定的領(lǐng)域內(nèi)得到了較為充分的應(yīng)用，然而迄今為止，還不存在具有普適性的軟件可靠性模型。由于受一些主、客觀不確定因素的制約，軟件可靠性模型不能完全準(zhǔn)確地描述軟件的失效行為，從而造成評(píng)估結(jié)果中存在大量誤差。工程應(yīng)用中常常憑經(jīng)驗(yàn)對(duì)這種誤差進(jìn)行評(píng)估。Shooman曾提出，“概率軟件可靠性模型的平均相對(duì)誤差一般為37%”。

不同的軟件可靠性模型對(duì)同一組失效數(shù)據(jù)的評(píng)估結(jié)果可能呈現(xiàn)很大的不一致性；應(yīng)用同一可靠性模型對(duì)同一組數(shù)據(jù)的不同階段，或者將同一模型用于不同的失效數(shù)據(jù)組，其評(píng)估質(zhì)量都可能呈現(xiàn)不一致性。

為了數(shù)學(xué)處理上的方便或是由于人們對(duì)軟件失效的內(nèi)在機(jī)理的不完全認(rèn)識(shí)，研究人員在建模之初都做出了一系列的假設(shè)，其中不乏失實(shí)情況。這類假設(shè)有：①失效間隔時(shí)間具有獨(dú)立性；②軟件失效相互獨(dú)立；③軟件所有錯(cuò)誤檢測(cè)率相同；④一旦發(fā)現(xiàn)軟件錯(cuò)誤就立即被清除掉，而且清除過程中不會(huì)引起新的軟件錯(cuò)誤；等等。顯然這些假設(shè)與現(xiàn)實(shí)相悖，這就造成了軟件可靠性理論值與實(shí)際值存在一定的偏差。

目前需要考慮軟件可靠性的領(lǐng)域大多是關(guān)系國(guó)計(jì)民生的關(guān)鍵系統(tǒng)，正是由于上述問題，使得基于可靠性模型的測(cè)評(píng)結(jié)果在可信度上大打折扣。劉宏偉基于多組軟件失效數(shù)據(jù)集對(duì)G-O模型進(jìn)行了分析，指出該模型參數(shù)的穩(wěn)定性較差。Littlewood, Podgurski等人指出：由于精度和穩(wěn)定性差，軟件可靠性增長(zhǎng)模型不適合于對(duì)軟件可靠性評(píng)價(jià)結(jié)果精確度和可信度要求比較高的領(lǐng)域。

2.軟件可靠性的模糊性

軟件可靠性的模糊性主要表現(xiàn)在以下三個(gè)方面：

（1）由于軟件具有唯一性，軟件可靠性行為本質(zhì)上是模糊的

軟件的唯一性主要表現(xiàn)在軟件復(fù)制無(wú)差別和調(diào)試過程不會(huì)重復(fù)。由于可能性反映樣本的特殊性，所以在樣本之間不存在重復(fù)性以及小樣本的情形下，可能性更適合于刻畫軟件系統(tǒng)的可靠性行為。在軟件系統(tǒng)可靠性評(píng)價(jià)問題上，概率假設(shè)面臨著定量數(shù)據(jù)短缺的挑戰(zhàn)。應(yīng)用概率方法處理實(shí)際問題必須滿足四個(gè)前提：①事件定義明確；②大量樣本存在；③樣本具有概率重復(fù)性并具有較好的分布規(guī)律；④不受人為因素影響。但在實(shí)際工程問題中，這四個(gè)條件往往并不滿足。有些全新開發(fā)的高可靠性軟件，由于無(wú)使用先例，要么失效數(shù)據(jù)極少，要么根本無(wú)法獲得失效數(shù)據(jù)。許多軟件系統(tǒng)即使有大樣本數(shù)據(jù)，也不一定能找到統(tǒng)計(jì)規(guī)律，即使有了統(tǒng)計(jì)規(guī)律也不一定是典型的，而非典型的過程是難以處理的。

目前，大多數(shù)軟件可靠性模型都是基于概率統(tǒng)計(jì)的觀點(diǎn)建模的，由于軟件可靠性評(píng)估方法還遠(yuǎn)遠(yuǎn)沒有硬件發(fā)展那樣成熟，現(xiàn)有方法同硬件相比其適用的局限性要大得多，沒有一種方法得到普遍的承認(rèn)。Harris指出,“評(píng)定軟件可靠性時(shí)是否適用可靠性概率的概念，這個(gè)問題還是懸而未決的。盡管軟件企業(yè)界清楚地了解可靠性問題，也知道需要評(píng)定可靠性，使他們自己相信確已滿足可靠性要求，卻很少有人認(rèn)為可靠性的概率定義是適用的。這種情況并不是由于對(duì)有關(guān)軟件的問題了解不夠，而是由于所了解的只是情況己經(jīng)發(fā)生。軟件企業(yè)界的大多數(shù)人寧愿把可靠性看作是正確性的表示，但是像概率一樣，正確性也是一個(gè)直覺的觀念，只有在正式的數(shù)學(xué)框架之內(nèi)才能做到準(zhǔn)確、客觀和嚴(yán)謹(jǐn)”。因此不論將軟件可靠性視為概率的定義，還是將軟件可靠性視為正確性，軟件可靠性都是一種直覺的觀念。

（2）失效數(shù)據(jù)可能帶有模糊性

工程實(shí)踐中，往往很難收集到大量的第一手?jǐn)?shù)據(jù)，通常失效概率或其他參數(shù)只能通過其相關(guān)領(lǐng)域的參考數(shù)據(jù)，根據(jù)專家的主觀判斷和不精確的經(jīng)驗(yàn)來估計(jì)。大量存在的來自于生產(chǎn)者、使用者的經(jīng)驗(yàn)、專家判斷等定性信息，工作環(huán)境信息及各種任務(wù)要求等，一般都是以自然語(yǔ)言等非定量形式表達(dá)，如“這個(gè)子系統(tǒng)（或模塊）的可靠性較高”、“這是系統(tǒng)可靠性的薄弱環(huán)節(jié)”等等。這些用自然語(yǔ)言表達(dá)的信息，基于大樣本數(shù)據(jù)概率模型和以統(tǒng)計(jì)為基礎(chǔ)的傳統(tǒng)可靠性理論卻無(wú)法應(yīng)用，難以給出高置信度的評(píng)價(jià)結(jié)論。為解決數(shù)據(jù)短缺問題，對(duì)定性知識(shí)的定量轉(zhuǎn)換至關(guān)重要。

（3）軟件狀態(tài)的模糊性

由于可靠性是一個(gè)本身沒有明確外延的定性概念，根據(jù)實(shí)際系統(tǒng)的模糊或不精確信息，基于二值邏輯（或多值邏輯）嚴(yán)格分明的判斷系統(tǒng)狀態(tài)“正?！?、“失效”（或“正?！?、“小失效”、“大失效”、“完全失效”等），這是不合理的，不符合人們的通常的思維特點(diǎn)和對(duì)客觀事物的一般認(rèn)識(shí)。實(shí)際上，軟件也會(huì)老化（Software Aging），從而系統(tǒng)中很多狀態(tài)會(huì)呈現(xiàn)出既不是正常也不是失效的中間狀態(tài)，軟件出現(xiàn)性能退化的主要原因是操作系統(tǒng)資源的耗損，數(shù)據(jù)損壞和錯(cuò)誤累積。顯然，這種劃分在有些情況下嚴(yán)重脫離工程實(shí)際，它不能區(qū)別同一部分內(nèi)不同指標(biāo)間的差異，而不同部分交界處的相鄰指標(biāo)點(diǎn)間并無(wú)性能上的本質(zhì)差異，卻被硬性劃分到不同的狀態(tài)。即使將系統(tǒng)指標(biāo)的取值范圍劃分成許多部分，從而使對(duì)系統(tǒng)性能的描述變得較為細(xì)致，但在本質(zhì)上所采用的失效判斷依然是嚴(yán)格分明的。

三、軟件可靠性定性評(píng)估的意義

通常，人們更多關(guān)注的是軟件系統(tǒng)能在多大程度上保持其規(guī)定功能的能力。從定性的角度而言，軟件系統(tǒng)完成規(guī)定功能的能力是有程度差別的，工程經(jīng)驗(yàn)中常用很多種定性語(yǔ)言值來描述這種程度。在軟件可靠性工程項(xiàng)目中，目前大多專家評(píng)分方法中，專家需綜合許多不確定因素對(duì)系統(tǒng)的可靠性進(jìn)行評(píng)價(jià)，但是專家往往存在這樣的疑惑，是給“0.7”還是“0.8”，似乎均可。這時(shí)，專家通過比較分析，往往傾向于用“很高”、“極低”……等語(yǔ)氣化詞或者“大約是0.7”、“好像是0.8”、“近似于0.9”……等模糊化數(shù)量詞對(duì)其可靠性進(jìn)行評(píng)價(jià)。此外，不同專家的評(píng)價(jià)又具有隨機(jī)性。由于系統(tǒng)的復(fù)雜性，這種不確定性語(yǔ)言值方法常常比精確數(shù)值方法甚至更確切、更本質(zhì)、更高效。

由于軟件的復(fù)雜性和不確定性，系統(tǒng)的失效很難避免，但準(zhǔn)確的可靠性評(píng)價(jià)，可使我們理解系統(tǒng)的失效原因、制定合理的應(yīng)對(duì)策略，進(jìn)而采取恰當(dāng)?shù)拇胧p少系統(tǒng)失效，提高系統(tǒng)的可靠性。在軟件可靠性工程中，會(huì)遇到大量的不確定因素，只有充分考慮這些不確定因素的存在和影響，得出的結(jié)果才是合理的。

為了處理現(xiàn)實(shí)中廣泛存在的模糊現(xiàn)象，1965年美國(guó)控制論專家扎德（Zadeh, L.A.）教授首次提出了模糊集、隸屬度等概念，用以刻畫模糊事物的亦此亦彼性，從而開創(chuàng)了模糊數(shù)學(xué)分支。他認(rèn)為，模糊性是絕對(duì)的，而清晰性或精確性是相對(duì)的。所謂精確性或清晰性是人們對(duì)不確定性實(shí)行了一種分離，是一種簡(jiǎn)單化和理想化。他同時(shí)總結(jié)出一條互克性原則：隨著系統(tǒng)復(fù)雜性的增長(zhǎng)，對(duì)其特性作出精確而有意義的描述能力相應(yīng)降低，直到達(dá)到一個(gè)閾值，一旦超過它，精確性和有意義性（或貼近性）幾乎成為兩個(gè)相互排斥的特征。這個(gè)原則說明模糊性來源于復(fù)雜性，復(fù)雜程度越高，模糊性越強(qiáng)，精確化程度也就越低。自從創(chuàng)立“模糊數(shù)學(xué)”以來，模糊數(shù)學(xué)己被廣泛應(yīng)用于自動(dòng)控制、人工智能、系統(tǒng)分析等諸多領(lǐng)域，并取得了驚人的成果。引入模糊數(shù)學(xué)方法不是為了把問題模糊化，而是把實(shí)際中的模糊事件用精確的數(shù)學(xué)表達(dá)式表示，使問題精確化。隨著可靠性研究的不斷深入，人們已經(jīng)逐漸認(rèn)識(shí)到了常規(guī)可靠性的種種不合理性，因此人們對(duì)可靠性中存在的不確定性的研究開始引入了模糊數(shù)學(xué)方法。

然而，一旦人為假定一個(gè)精確的隸屬函數(shù)來描述模糊概念，“硬化”成精確數(shù)值后，模糊概念就被強(qiáng)行納入到精確數(shù)學(xué)的王國(guó)，不符合人們對(duì)自然語(yǔ)言中概念的理解。這樣，在后繼相關(guān)概念的定義、定理的敘述及證明等經(jīng)典數(shù)學(xué)式的演繹中，就不再有絲毫的模糊性了。這正是傳統(tǒng)模糊理論的不徹底性。

針對(duì)這些問題，20世紀(jì)90年代初期，李德毅在傳統(tǒng)模糊數(shù)學(xué)和概率統(tǒng)計(jì)的基礎(chǔ)上提出了定性定量不確定性互換模型——云模型，它把自然語(yǔ)言中定性概念的模糊性和隨機(jī)性有機(jī)地綜合在一起，實(shí)現(xiàn)了定性語(yǔ)言值與定量數(shù)值之間的有效轉(zhuǎn)換。